Dz.U.2012.683
Dz.U.2017.522
ROZPORZĄDZENIE
RADY
MINISTRÓW
z dnia 29 maja
2012 r.
w sprawie środków bezpieczeństwa fizycznego
stosowanych do zabezpieczania informacji niejawnych
Na podstawie art. 47 ust. 1 pkt 1 i 3–6 ustawy z dnia 5
sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr
182, poz. 1228) zarządza się, co następuje:
§ 1.
1. Rozporządzenie określa:
1) podstawowe kryteria i sposób określania poziomu zagrożeń;
2) dobór środków bezpieczeństwa fizycznego odpowiednich do
wskazanego poziomu zagrożeń;
3) rodzaje zagrożeń, które należy uwzględnić przy określaniu
poziomu zagrożeń;
4) podstawowe elementy, które powinien zawierać plan ochrony
informacji niejawnych;
5) zakres stosowania środków bezpieczeństwa fizycznego;
6) kryteria tworzenia stref ochronnych.
2. Przepisów rozporządzenia regulujących sprawy, o których
mowa w ust. 1 pkt 2 i 5, nie stosuje się w jednostkach
organizacyjnych organów wymienionych w art. 47 ust. 3 ustawy
z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych,
zwanej dalej „ustawą”, oraz w stosunku do informacji
niejawnych wchodzących w skład zasobu archiwalnego archiwów
państwowych. W jednostkach organizacyjnych, o których mowa w
art. 1 ust. 2 pkt 2 ustawy, nie stosuje się ponadto
przepisów rozporządzenia regulujących sprawy, o których mowa
w ust. 1 pkt 4 i 6.
§ 2.
Ilekroć w rozporządzeniu jest mowa o:
1) dostępności informacji niejawnej – należy przez to
rozumieć właściwość określającą, że informacja niejawna jest
możliwa do wykorzystania na żądanie podmiotu uprawnionego w
określonym czasie;
2) integralności informacji niejawnej – należy przez to
rozumieć właściwość określającą, że informacja niejawna nie
została zmodyfikowana w sposób nieuprawniony;
3) poufności informacji niejawnej – należy przez to rozumieć
właściwość określającą, że informacja niejawna nie jest
ujawniana podmiotom do tego nieuprawnionym;
4) incydencie bezpieczeństwa – należy przez to rozumieć
pojedyncze zdarzenie lub serię zdarzeń związanych z
bezpieczeństwem informacji niejawnych, które zagrażają ich
poufności, dostępności lub integralności.
§ 3.
1. W ramach systemu bezpieczeństwa fizycznego informacji
niejawnych stosuje się środki bezpieczeństwa fizycznego w
celu zapewnienia poufności, integralności i dostępności tych
informacji.
2. W celu doboru adekwatnych środków bezpieczeństwa
fizycznego określa się poziom zagrożeń związanych z utratą
poufności, integralności lub dostępności informacji
niejawnych, zwany dalej „poziomem zagrożeń”.
3. Poziom zagrożeń określa się dla pomieszczenia lub
obszaru, w którym są przetwarzane informacje niejawne.
4. Poziom zagrożeń określa się jako wysoki, średni albo
niski.
5. Przy określaniu poziomu zagrożeń uwzględnia się:
1) zagrożenia naturalne, wynikające z działania sił przyrody
lub awarii urządzeń;
2) zagrożenia związane zarówno z umyślnym, jak i nieumyślnym
zachowaniem człowieka.
6. W celu określenia poziomu zagrożeń przeprowadza się
analizę, w której uwzględnia się wszystkie istotne czynniki
mogące mieć wpływ na bezpieczeństwo informacji niejawnych.
7. Poziom zagrożeń określa się przed rozpoczęciem
przetwarzania informacji niejawnych, a także po każdej
zmianie czynników, o których mowa w ust. 6.
8. Podstawowe kryteria i sposób określania poziomu
zagrożeń zawiera załącznik nr 1 do rozporządzenia.
§ 4.
1. Cel, o którym mowa w § 3 ust. 1, osiąga się przez:
1) zapewnienie właściwego przetwarzania informacji
niejawnych;
2) umożliwienie zróżnicowania dostępu do informacji
niejawnych dla pracowników zgodnie z posiadanymi przez nich
uprawnieniami oraz uzasadnioną potrzebą dostępu do
informacji niejawnych;
3) wykrywanie, udaremnianie lub powstrzymywanie działań
nieuprawnionych;
4) uniemożliwianie lub opóźnianie wtargnięcia osób
nieuprawnionych w sposób niezauważony lub z użyciem siły do
pomieszczenia lub obszaru, w którym są przetwarzane
informacje niejawne.
2. Środki bezpieczeństwa fizycznego stosuje się we
wszystkich pomieszczeniach i obszarach, w których są
przetwarzane informacje niejawne, z zastrzeżeniem § 8 ust.
5.
3. System środków bezpieczeństwa fizycznego obejmuje
stosowanie rozwiązań organizacyjnych, wyposażenia i urządzeń
służących ochronie informacji niejawnych oraz
elektronicznych systemów pomocniczych wspomagających ochronę
informacji niejawnych. W zależności od poziomu zagrożeń
określonego w wyniku przeprowadzenia analizy, o której mowa
w § 3 ust. 6, stosuje się odpowiednią kombinację
następujących środków bezpieczeństwa fizycznego:
1) personel bezpieczeństwa – osoby przeszkolone,
nadzorowane, a w razie konieczności posiadające odpowiednie
uprawnienie do dostępu do informacji niejawnych, wykonujące
czynności związane z fizyczną ochroną informacji niejawnych,
w tym kontrolę dostępu do pomieszczeń lub obszarów, w
których są przetwarzane informacje niejawne, nadzór nad
systemem dozoru wizyjnego, a także reagowanie na alarmy lub
sygnały awaryjne;
2) bariery fizyczne – środki chroniące granice miejsca, w
którym są przetwarzane informacje niejawne, w szczególności
ogrodzenia, ściany, bramy, drzwi i okna;
3) szafy i zamki – stosowane do przechowywania informacji
niejawnych lub zabezpieczające te informacje przed
nieuprawnionym dostępem;
4) system kontroli dostępu – obejmujący elektroniczny system
pomocniczy lub rozwiązanie organizacyjne, stosowany w celu
zagwarantowania uzyskiwania dostępu do pomieszczenia lub
obszaru, w którym są przetwarzane informacje niejawne,
wyłącznie przez osoby posiadające odpowiednie uprawnienia;
5) system sygnalizacji włamania i napadu – elektroniczny
system pomocniczy stosowany w celu realizacji procedur
ochrony informacji niejawnych oraz podwyższenia poziomu
bezpieczeństwa, który zapewniają bariery fizyczne, a w
pomieszczeniach i budynkach zastępujący lub wspierający
personel bezpieczeństwa;
6) system dozoru wizyjnego – elektroniczny system pomocniczy
stosowany w celu bieżącego monitorowania ochronnego lub
sprawdzania incydentów bezpieczeństwa i sygnałów alarmowych
przez personel bezpieczeństwa;
7) system kontroli osób i przedmiotów – obejmujący
elektroniczny system pomocniczy lub rozwiązanie
organizacyjne polegające na zwracaniu się o dobrowolne
poddanie się kontroli lub udostępnienie do kontroli rzeczy
osobistych, a także przedmiotów wnoszonych lub wynoszonych –
stosowany w celu zapobiegania próbom nieuprawnionego
wnoszenia na chroniony obszar rzeczy zagrażających
bezpieczeństwu informacji niejawnych lub nieuprawnionego
wynoszenia informacji niejawnych z budynków lub obiektów.
4. W celu zapewnienia poufności, integralności i
dostępności informacji niejawnych można zastosować również
środki bezpieczeństwa fizycznego inne niż wymienione w ust.
3, jeżeli taka potrzeba wynika z analizy poziomu zagrożeń.
5. Jeżeli istnieje zagrożenie podglądu, także przypadkowego,
informacji niejawnych, zarówno w świetle dziennym, jak i w
warunkach sztucznego oświetlenia, podejmuje się działania w
celu wyeliminowania takiego zagrożenia.
5a. Elektroniczne systemy pomocnicze wspomagające ochronę
informacji niejawnych należy wykonywać zgodnie z zasadami
sztuki inżynierskiej i aktualnym poziomem wiedzy
technicznej, opisanym w szczególności w odpowiednich
Polskich Normach.
6. Elektroniczne systemy pomocnicze wspomagające ochronę
informacji niejawnych powinny posiadać wy-dane przez
dostawcę, z uwzględnieniem przepisów o systemie oceny
zgodności, poświadczenia zgodności z wymogami określonymi w
rozporządzeniu.
7. Metodykę doboru środków bezpieczeństwa fizycznego określa
załącznik nr 2 do rozporządzenia.
§ 5.
1. Tworzy się następujące strefy ochronne:
1) strefę ochronną I – obejmującą pomieszczenie lub obszar,
w których informacje niejawne o klauzuli „poufne” lub
wyższej są przetwarzane w taki sposób, że wstęp do tego
pomieszczenia lub obszaru umożliwia uzyskanie bezpośredniego
dostępu do tych informacji; pomieszczenie lub obszar
spełniają następujące wymagania:
a) wyraźnie wskazana w planie ochrony najwyższa klauzula
tajności przetwarzanych informacji niejawnych,
b) wyraźnie określone i zabezpieczone granice,
c) wprowadzony system kontroli dostępu zezwalający na wstęp
osób, które posiadają odpowiednie uprawnienie do dostępu do
informacji niejawnych w zakresie niezbędnym do wykonywania
pracy lub pełnienia służby albo wykonywania czynności
zleconych,
d) w przypadku konieczności wstępu osób innych niż te, o
których mowa w lit. c, przetwarzane informacje niejawne
zabezpiecza się przed możliwością dostępu do nich tych
innych osób oraz zapewnia się nadzór osoby uprawnionej lub
równoważne mechanizmy kontrolne,
e) wstęp możliwy jest wyłącznie ze strefy ochronnej;
2) strefę ochronną II – obejmującą pomieszczenie lub obszar,
w którym informacje niejawne o klauzuli „poufne” lub wyższej
są przetwarzane w taki sposób, że wstęp do tego
pomieszczenia lub obszaru nie umożliwia uzyskania
bezpośredniego dostępu do tych informacji; pomieszczenie lub
obszar spełniają następujące wymagania:
a) wyraźnie określone i zabezpieczone granice,
b) wprowadzony system kontroli dostępu zezwalający na wstęp
osób, które posiadają odpowiednie uprawnienie do dostępu do
informacji niejawnych w zakresie niezbędnym do wykonywania
pracy lub pełnienia służby albo wykonywania czynności
zleconych,
c) w przypadku konieczności wstępu osób innych niż te, o
których mowa w lit. b, zapewnia się nadzór osoby uprawnionej
lub równoważne mechanizmy kontrolne,
d) wstęp możliwy jest wyłącznie ze strefy ochronnej;
3) strefę ochronną III – obejmującą pomieszczenie lub
obszar wymagający wyraźnego określenia granic, w obrębie
których jest możliwe kontrolowanie osób i pojazdów;
4) specjalną strefę ochronną – umiejscowioną w obrębie
strefy ochronnej I lub strefy ochronnej II, chronioną przed
podsłuchem, spełniającą dodatkowo następujące wymagania:
a) strefę wyposaża się w system sygnalizacji włamania i
napadu,
b) strefa pozostaje zamknięta, gdy nikogo w niej nie ma,
c) w przypadku posiedzenia niejawnego strefa jest chroniona
przed wstępem osób nieupoważnionych do udziału w tym
posiedzeniu,
d) strefa podlega regularnym inspekcjom przeprowadzanym
według zaleceń Agencji Bezpieczeństwa Wewnętrznego albo
Służby Kontrwywiadu Wojskowego, nie rzadziej niż raz w roku
oraz po każdym nieuprawnionym wejściu do strefy lub
podejrzeniu, że takie wejście mogło mieć miejsce,
e) w strefie nie mogą znajdować się linie komunikacyjne,
telefony, inne urządzenia komunikacyjne ani sprzęt
elektryczny lub elektroniczny, których umieszczenie nie
zostało zaakceptowane w sposób określony w procedurach
bezpieczeństwa, o których mowa w § 9 ust. 1 pkt 4.
2. Pomieszczenie lub obszar w każdej strefie ochronnej, w
których praca nie odbywa się w systemie całodobowym,
sprawdza się bezpośrednio po zakończeniu pracy w celu
upewnienia się, że informacje niejawne zostały właściwie
zabezpieczone.
3. W strefie ochronnej I lub w strefie ochronnej II można
utworzyć pomieszczenie wzmocnione. Konstrukcja pomieszczenia
powinna zapewniać ochronę równoważną ochronie zapewnianej
przez odpowiednie szafy przeznaczone do przechowywania
informacji niejawnych o tej samej klauzuli tajności. W
pomieszczeniu wzmocnionym dopuszczalne jest przechowywanie
informacji niejawnych poza odpowiednimi szafami.
4. Strefę ochronną I, strefę ochronną II lub specjalną
strefę ochronną można utworzyć tymczasowo w strefie
ochronnej III w celu odbycia posiedzenia niejawnego.
§ 6.
Klucze i kody dostępu do szaf, pomieszczeń lub obszarów, w
których są przetwarzane informacje niejawne, mogą być
udostępnione tylko tym osobom, którym posiadanie kluczy lub
znajomość kodów są niezbędne do wykonywania obowiązków
służbowych. Kody zmienia się co najmniej raz w roku, a także
w przypadku:
1) każdej zmiany składu osób znających kod;
2) zaistnienia podejrzenia, że osoba nieuprawniona mogła
poznać kod;
3) gdy zamek poddano konserwacji lub naprawie.
§ 7.
1. Informacje niejawne o klauzuli „ściśle tajne” przetwarza
się w strefie ochronnej I lub w strefie ochronnej II i
przechowuje się w szafie metalowej spełniającej co najmniej
wymagania klasy odporności na włamanie S2, określone w
Polskiej Normie PN-EN 14450 lub nowszej, lub w pomieszczeniu
wzmocnionym, z zastosowaniem jednego z poniższych środków
uzupełniających:
1) stała ochrona lub kontrola w nieregularnych odstępach
czasu przez pracownika personelu bezpieczeństwa
posiadającego odpowiednie poświadczenie bezpieczeństwa, w
szczególności z wykorzystaniem systemu dozoru wizyjnego z
obowiązkową rejestracją w rozdzielczości nie mniejszej niż
400 linii telewizyjnych i przechowywaniem zarejestrowanego
zapisu przez czas nie krótszy niż 30 dni;
2) system sygnalizacji włamania i napadu obsługiwany przez
personel bezpieczeństwa z wykorzystaniem systemu dozoru
wizyjnego, o którym mowa w pkt 1.
2. Informacje niejawne o klauzuli „tajne” przetwarza się w
strefie ochronnej I lub w strefie ochronnej II i przechowuje
się w szafie metalowej spełniającej co najmniej wymagania
klasy odporności na włamanie S1, określone w Polskiej Normie
PN-EN 14450 lub nowszej, lub w pomieszczeniu wzmocnionym.
3. Informacje niejawne o klauzuli „poufne”:
1) przetwarza się w strefie ochronnej I, II lub III;
2) przechowuje się w strefie ochronnej I lub w strefie
ochronnej II w szafie metalowej lub w pomieszczeniu
wzmocnionym.
4. Informacje niejawne o klauzuli „zastrzeżone” przetwarza
się w pomieszczeniu lub obszarze wyposażonych w system
kontroli dostępu i przechowuje się w szafie metalowej,
pomieszczeniu wzmocnionym lub zamkniętym na klucz meblu
biurowym.
§ 8.
1. Przetwarzanie informacji niejawnych o klauzuli „poufne”
lub wyższej w systemach teleinformatycznych odbywa się w
strefie ochronnej I lub w strefie ochronnej II, w warunkach
uwzględniających wyniki procesu szacowania ryzyka, o którym
mowa w art. 49 ust. 1 ustawy.
2. Przekazywanie informacji, o których mowa w ust. 1, odbywa
się w strefie ochronnej, na podstawie wyników procesu
szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.
3. Przetwarzanie informacji niejawnych o klauzuli
„zastrzeżone” w systemach teleinformatycznych odbywa się w
pomieszczeniu lub obszarze wyposażonych w system kontroli
dostępu, w warunkach uwzględniających wyniki procesu
szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.
4. Serwery, systemy zarządzania siecią, kontrolery sieciowe
i inne newralgiczne elementy systemów teleinformatycznych
umieszcza się, z uwzględnieniem wyników procesu szacowania
ryzyka, o którym mowa w art. 49 ust. 1 ustawy, w następujący
sposób:
1) w strefie ochronnej w przypadku przetwarzania informacji
niejawnych o klauzuli „zastrzeżone”;
2) w strefie ochronnej I lub w strefie ochronnej II, w
przypadku przetwarzania informacji niejawnych o klauzuli
„poufne” lub wyższej.
5. Przetwarzanie informacji niejawnych w części mobilnej
zasobów systemu teleinformatycznego odbywa się na podstawie
wyników procesu szacowania ryzyka, o którym mowa w art. 49
ust. 1 ustawy, w sposób określony w dokumentacji
bezpieczeństwa systemu teleinformatycznego.
§ 9.
1. Kierownik jednostki organizacyjnej zatwierdza plan
ochrony informacji niejawnych, który zawiera:
1) opis stref ochronnych, pomieszczeń lub obszarów, o
których mowa w § 7 ust. 4, w tym określenie ich granic i
wprowadzonego systemu kontroli dostępu;
2) procedury zarządzania uprawnieniami do wejścia, wyjścia i
przebywania w strefach ochronnych;
3) opis zastosowanych środków bezpieczeństwa fizycznego
uwzględniający certyfikaty, o których mowa w art. 46 pkt 4
ustawy, oraz poświadczenia, o których mowa w § 4 ust. 6;
4) procedury bezpieczeństwa dla strefy ochronnej I, strefy
ochronnej II oraz specjalnej strefy ochronnej, określające w
szczególności:
a) klauzule tajności informacji niejawnych przetwarzanych w
strefie,
b) sposób sprawowania nadzoru przez osoby uprawnione w
przypadku przebywania w strefie osób nieposiadających
stałego upoważnienia do wstępu oraz sposób zabezpieczania
przetwarzanych informacji niejawnych przed możliwością
nieuprawnionego dostępu tych osób,
c) w przypadku specjalnej strefy ochronnej, sposób
akceptacji umieszczania linii komunikacyjnych, telefonów,
innych urządzeń komunikacyjnych, sprzętu elektrycznego lub
elektronicznego, znajdujących się w strefie;
5) procedury zarządzania kluczami i kodami dostępu do szaf,
pomieszczeń lub obszarów, w których są przetwarzane
informacje niejawne;
6) procedury reagowania osób odpowiedzialnych za ochronę
informacji niejawnych oraz personelu bezpieczeństwa w
przypadku zagrożenia utratą lub ujawnieniem informacji
niejawnych;
7) plany awaryjne uwzględniające potrzebę ochrony informacji
niejawnych w razie wystąpienia sytuacji szczególnych, w tym
wprowadzenia stanów nadzwyczajnych, w celu zapobieżenia
utracie poufności, integralności lub dostępności informacji
niejawnych.
2. W przypadkach uzasadnionych organizacją ochrony
informacji niejawnych plan, o którym mowa w ust. 1, może
zawierać dodatkowe elementy.
§ 10.
1. W terminie 3 lat od dnia wejścia w życie rozporządzenia
określa się poziom zagrożeń, opracowuje dokumenty, o których
mowa w § 9, i dostosowuje się kombinację środków
bezpieczeństwa fizycznego oraz organizację stref ochronnych
do wymagań określonych w rozporządzeniu.
2. Certyfikaty i tabliczki znamionowe przyznane wyposażeniu
i urządzeniom służącym ochronie informacji niejawnych,
wydane przed dniem wejścia w życie rozporządzenia, zachowują
ważność.
§ 11.
Rozporządzenie wchodzi w życie po upływie 14 dni od dnia
ogłoszenia.1)
ZAŁĄCZNIKI (dostępne na
CD)
Załącznik nr 1 - Podstawowe kryteria i sposób określania
poziomu zagrożeń
Załącznik nr 2 - Metodyka doboru środków bezpieczeństwa
fizycznego
-----------------------------------------
1) Niniejsze rozporządzenie było poprzedzone
rozporządzeniem Rady Ministrów z dnia 1 czerwca 2010 r. w
sprawie organizacji i funkcjonowania kancelarii tajnych (Dz.
U. Nr 114, poz. 765).
|